Im Mai 2018 fällt der Startschuss zur EU-DSGVO – hier erfährst du mehr

Die Europäische Union stärkt die Verbraucher durch härtere Datenschutzgesetze.

2018 kommt die neue EU-DSGVO – was steckt dahinter?

Am 25. Mai 2018 tritt die neue EU-DSGV bzw. EU Datenschutzgrundverordnung in Kraft. Sie hat weitreichende Auswirkungen auf das Erfassen und personenbezogener Daten und wie Unternehmen damit umgehen dürfen. Die EU-Verordnung betrifft jedes Unternehmen mit Sitz in der EU und alle Unternehmen, die Daten von EU-Bürgern verarbeiten. Ziel der Verordnung ist es ein einheitliches Gesetz für sämtliche EU-Länder zu schaffen, die bis dahin sehr unterschiedliche Gesetze zum Schutz der Userdaten entwickelt hatten.

Was sind personenbezogene Daten nach EU-DSGVO?

Der Begriff personenbezogene Daten wird mit der EU-DSGVO erweitert. Vorher zählten dazu nach deutschem Recht nur Daten, die direkt zu einer natürlichen Person zugeordnet werden können. Das wären beispielsweise der Name, die Wohnadresse oder die E-Mail-Adresse. Mit diesen Daten wird eine Person identifiziert. Nun müssen auch Daten geschützt werden, die zu einer Identifizierung beitragen können. Das sind beispielsweise Cookie-Kennungen, Werbe-IDs oder IP-Adressen. Das heißt, die Person ist dem Unternehmen vll. nicht mit Namen bekannt aber durch ihre zugewiesene Werbe-ID und dem nachvollziehbaren Verhalten könnte sie identifiziert werden. Je nach Informationsgehalt der Daten muss für entsprechenden Datenschutz gesorgt werden, dieser ist immer am Stand der Technik zu orientieren.

Wann darf ich die Daten meiner Webseitenbesucher erfassen?

Foto für den Blogbeitrag zur EU-DSGVO von Pixabay.com.

Wer Daten von Drittanbietern verarbeiten lässt benötigt einen Datenverarbeitungs-Vertrag mit diesen.

Da das deutsche Datenschutzrecht bereits sehr umfangreich war, sind bereits viele Unternehmen gut gewappnet für die neuen Regelungen. Allerdings gibt es auch einige schwerwiegende Entscheidungen.

Bevor personenbezogenen Daten erfasst werden, muss der Benutzer um Erlaubnis gefragt werden. Früher war das so geregelt, dass viele Webseiten einfach darüber informierten, dass Cookies gesetzt wurden und man mit einem Klick auf den OK-Button lediglich die Nachricht verschwinden lässt. Der Benutzer muss also die Webseite verlassen, wenn er seine Daten nicht preisgeben will. Dieses System ist als Opt-out-System bekannt.

Mit der EU-DSGVO wandelt sich dieses zu einem Opt-in-System. Das heißt, der Benutzer muss zuerst gefragt werden, ob er damit einverstanden ist das Cookies gesetzt werden. Diese Erlaubnis muss er vollkommen freiwillig abgeben. Es darf also kein Häckchen gesetzt sein und wenn der Nutzer keine Erlaubnis gibt, darf er trotzdem die Webseite nutzen. Nutzern, die eine Erlaubnis erteilen, muss auf der Webseite eine einfache Möglichkeit zum Widerrufen geboten werden. Dieser Sachverhalt nennt sich “Verbot mit Erlaubnisvorbehalt”. Die personenbezogenen Daten dürfen aber auch erhoben werden, wenn bestimmte rechtliche Rahmen bestehen. Beispielsweise ist es erlaubt Adressdaten von Kunden eines Onlineshops zu archivieren, da es vom Steuerrecht verlangt wird.

Das Opt-in muss zudem detailliert dokumentiert werden, um später im Streitfall nachzuweisen, dass der Nutzer die Zustimmung gegeben hat. Wie detailliert das erfolgen muss, ist nicht eindeutig. Um auf der sicheren Seite zu bleiben sollte erfasst werden, dass der Opt-in angezeigt wurde, das Datum und der Zeitpunkt der Einwilligung sowie die IP-Adresse der Person.

Welche Dokumentationen kommen auf Unternehmen zu?

Neben dem Archivieren der Einwilligungen, die jedes Unternehmen nachzuweisen hat, müssen Unternehmen mit mehr als 250 Mitarbeitern ihre Datenverarbeitungsvorgänge dokumentieren. Es ist festzuhalten, was für personenbezogene Daten verwendet werden, auf welchem gültigen Recht dies passiert, wie lange diese Daten gespeichert bleiben, wie sie erhoben wurden und zu welchem Zweck die Verarbeitung geschieht. Werden personenbezogene Daten an Dritte weitergegeben ist mit einem Auftragsverarbeitungsvertrag zu kontrollieren, dass sich dieser ebenfalls an die DSGVO hält. Hier lohnt es sich, ab einer bestimmten Unternehmensgröße einen Datenschutzbeauftragten zu bestimmen.

Sehr interessant ist hier die Auskunftspflicht der Unternehmen. Möchte ein Benutzer wissen, welche Daten von ihm gesammelt wurden, kann er nun eine Anfrage an das Unternehmen stellen und dort seine Daten einsehen. Außerdem kann der Besucher seine Einwilligung widerrufen und die gesammelten Daten müssen gelöscht werden. Zusätzlich muss die Datenschutzerklärung weitgreifend überarbeitet werden. Sie muss nun leicht zugänglich, verständlich und in einfacher Sprache formuliert sein. Sie muss genau erläutern, welche Daten erhoben werden, was das Ziel der Datenerhebung ist, wie das geschieht und welche Rechte die Besucher der Webseite haben.

Fazit zur EU-DSGVO

Die Großen Unternehmen wie Google, Facebook und Co. müssen sich dem EU-DSGVO beugen.

Vor allem die großen Unternehmen müssen viel Dokumentieren.

Die neue Verordnung erhöht den Aufwand für Unternehmen durch Dokumentations-, Nachweis- und Rechenschaftspflicht. Datenschutzerklärungen müssen umgeschrieben werden und es muss für Besucher der Seite eine Möglichkeit eingeräumt werden, die erfassten Daten einzusehen. Zudem wird das Verbot mit Erlaubnisvorbehalt zusammen mit dem neuen Gesetz zur ePrivacy die Branchen Affiliate- und Online-Marketing in Atem halten, da dort mit Tracking und Cookies gearbeitet wird. Wer sich noch nicht mit der EU-DSGVO beschäftigt hat, sollte dies schnellstmöglich tun!

Ob Verbraucher wirklich von der Verordnung profitieren, muss sich im Einsatz zeigen. Wichtig und sinnvoll sind jedenfalls die neuen Datenschutzregelungen, die z.B. eine SSL-Verschlüsselung fordern und den Begriff der personenbezogenen Daten erweitert.

Hier gibt es einen Link zum Rechtstext!

 

 

 

 

P.S. Hier noch ein Link zu unserem Eintrag im Branchenverzeichnis!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*

1 × 3 =